通过

设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册

  • 项目

Android Enterprise 公司拥有的工作配置文件设备是供公司和个人使用的单用户设备。

最终用户可以将其工作和个人数据分开,并保证个人数据和应用程序保持私密。 管理员可以控制整个设备的某些设置和功能,包括:

  • 设置设备密码的要求
  • 控制蓝牙和数据漫游
  • 配置恢复出厂设置保护

Intune 可帮助将应用和设置部署到 Android Enterprise 公司拥有的工作配置文件设备。 有关 Android Enterprise 的特定详细信息,请参阅 Android Enterprise 要求

设备要求

设备必须满足以下要求才能作为 Android Enterprise 公司拥有的工作配置文件设备进行托管:

  • Android OS 版本 8.0 及更高版本。
  • 设备必须运行具有 Google Mobile Services (GMS) 连接性的 Android 发行版。 设备必须有可用的 GMS,并且必须能连接到 GMS。

设置 Android Enterprise 公司拥有的工作配置文件设备管理

若要设置 Android Enterprise 公司拥有的工作配置文件设备,请执行以下步骤:

  1. 若准备管理移动设备,必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune以获取说明。 第一次设置 Intune 以进行移动设备管理时,只需设置一次此项。
  2. 将 Intune 租户帐户连接到托管的 Google Play 帐户
  3. 创建注册配置文件
  4. 创建设备组
  5. 注册公司拥有的工作配置文件设备

创建注册配置文件

注意

  • 公司拥有的工作配置文件设备的令牌不会自动过期。 如果管理员决定撤销令牌,则与令牌关联的配置文件将不会显示在 设备>按平台>加入 Android>设备>注册>具有工作配置文件的公司拥有的设备中。 若要查看与活动令牌和非活动令牌关联的所有配置文件,请单击“筛选”,然后选中“活动”和“非活动”策略状态对应的框。
  • 对于公司拥有的工作配置文件 (COPE) 设备,仅在运行 Android 8-10 的设备上支持 afw#setup 注册方法和近场通信 (NFC) 注册方法。 这两种方法在 Android 11 上不可用。 有关详细信息,请参阅 此处的 Google 开发人员文档。

必须创建一个注册配置文件,用户才能可以注册公司拥有的工作配置文件设备。 创建配置文件时,它会提供注册令牌(随机字符串)和 QR 码。 可使用令牌或 QR 码注册专用设备,具体取决于 Android OS 和设备版本。

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>注册”。

  3. 选择“ Android ”选项卡。

  4. “Android 企业>注册配置文件”下,选择 “具有工作配置文件的公司拥有的设备”。

  5. 选择“ 创建配置文件”。

  6. 输入配置文件的基础知识:

    • 名称:为配置文件命名。 请记下该名称以供以后使用,因为在设置动态设备组时需要它。

    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

    • 令牌类型:选择要用于注册设备的令牌类型。 有关详细信息,请参阅本文中的 令牌类型 。 选项包括:

      • 公司拥有的工作配置文件 (默认)

      • 企业拥有的工作配置文件,通过过渡

    • 令牌到期日期:仅适用于暂存令牌。 输入希望令牌过期的日期,最长为未来 65 年。 可接受的日期格式: MM/DD/YYYYYYYY-MM-DD 令牌在创建的时区中的 12:59:59 PM 在所选日期到期。

  7. 选择“ 下一步 ”以继续 转到“作用域标记”。

  8. (可选)应用一个或多个范围标记,以将限制可见性和管理限制为Intune中的某些管理员用户。 有关如何使用范围标记的详细信息,请参阅 为分布式 IT 使用基于角色的访问控制和范围标记

  9. 选择“ 下一步 ”以继续 创建 + 查看

  10. 查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

访问注册令牌

创建配置文件后,Intune会生成注册所需的令牌。

  1. 返回到 “设备>注册”,然后选择“Android”选项卡。

  2. “注册配置文件” 部分中,选择 “公司拥有的工作配置文件的设备”。

  3. 从列表中选择注册配置文件。

  4. 选择“令牌”。

另一种查找令牌的方法为:

  1. 在列表中找到你的个人资料,然后选择旁边的“更多 (...)”菜单。

  2. 选择“查看注册令牌”。

令牌显示为八位数的字符串和 QR 码。 使用此令牌根据 Android Enterprise 公司拥有的设备注册文档中所述的注册机制进行注册

撤销或导出令牌

  • 撤销令牌:可立即使令牌/QR 码到期。 从此时起,令牌/QR 码不再可用。 在以下情况下可使用此选项:

    • 意外与未经授权的方共享令牌/QR 码。
    • 完成所有注册,不再需要令牌/QR 码。

  • 导出令牌:可以导出令牌/QR 代码的 JSON 内容。 可以使用此选项复制/粘贴 零接触注册的 JSON 内容, (中兴通讯) Knox 移动注册 (KME)

撤销或导出令牌/QR 码对已注册的设备没有任何影响。

  1. 在管理中心,转到 “设备>注册”。
  2. 选择“ Android ”选项卡。
  3. “Android 企业>注册配置文件”下,选择 “具有工作配置文件的公司拥有的设备”。
  4. 选择要使用的配置文件。
  5. 选择“令牌”。
  6. 若要撤销令牌,请选择“撤销令牌”>“是”
  7. 若要导出令牌,请选择“ 导出令牌”。

创建设备组

可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra设备组,以自动填充使用特定注册配置文件注册的设备:

  1. 登录到 Microsoft Intune 管理中心
  2. 转到>“所有组>”“新建组”。
  3. 按如下所示填写必填字段:
    • 组类型:安全性
    • 组名称:键入直观的名称,如 工厂 1 设备
    • 成员身份类型:动态设备
  4. 选择"添加动态查询"。
  5. 对于 “动态成员身份规则”,请填写字段,如下所示:
    • 添加动态成员身份规则:简单规则
    • 添加设备位置:enrollmentProfileName
    • 在中间的框中,选择“等于”
    • 在最后一个字段中,输入之前创建的注册配置文件名称。 有关动态成员身份规则的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则
  6. 选择“添加查询”>“创建”。

注册公司拥有的工作配置文件设备

用户现在可以注册其公司拥有的工作配置文件设备

注意

Microsoft Intune应用在注册过程中自动安装。 此应用是注册所必需的,无法卸载。 如果将Intune 公司门户应用部署到设备,并且用户尝试启动应用,则会将其重定向到Microsoft Intune应用,并且公司门户应用图标将被隐藏。

令牌类型

在管理中心创建注册配置文件时,必须选择令牌类型。 有两种类型的令牌。 每种类型启用不同的注册流。

默认令牌(公司拥有的工作配置文件)将设备注册到Microsoft Intune,作为具有工作配置文件的标准 Android Enterprise 公司拥有的设备。 此令牌要求在分发设备之前完成预预配步骤。 最终用户使用工作或学校帐户登录时完成设备上的剩余步骤。

设备暂存令牌(公司拥有的工作配置文件)通过过渡将设备注册到暂存模式下的Microsoft Intune,以便你或合作伙伴供应商可以完成所有预预配步骤。 最终用户使用其工作或学校帐户登录到 Microsoft Intune 应用,完成预配的最后一步。 设备可在登录时使用。 Intune支持运行 Android 8 或更高版本的 Android Enterprise 设备的设备暂存。

有关详细信息,请参阅 设备暂存概述

在 Android Enterprise 公司拥有的工作配置文件设备上管理应用

应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人拥有的工作配置文件设备相同。

当应用开发人员向 Google Play 发布更新时,托管设备上的应用会自动更新。

若要从 Android Enterprise 公司拥有的工作配置文件设备中删除应用,可以:

  • 删除所需的应用部署。
  • 创建应用的卸载部署。

限制

本部分中的限制适用于具有工作配置文件的公司拥有的设备。

专用空间是 Android 15 引入的一项功能,允许用户在设备上为要隐藏的敏感应用和数据创建空间。 专用空间被视为个人配置文件。 Microsoft Intune不支持专用空间中的移动设备管理,也不为尝试注册专用空间的设备提供技术支持。

后续步骤